На чем сейчас модно поднимать виртуальные машины?

docker ?

Докеры эти ваши :)

Хотя я за вагрант :)

Что-то мне кажется что докер это какая-то левая отдельная громоздкая сучность

А что не так с kvm?

Тяжеловатая, плюс приколы с доступом из хоста к машинам по сети

это chroot

*тогда chroot

амазон на kvm переходит

Если тебе именно виртуализация нужно, то ничего проще ты не найдёшь.

Если просто изоляция посмотри на lxc или openvz(если оно ещё живо). openvz я довольно долго использовал, было удобно. Но с увеличением мощностей серверов перешёл сперва на xen, а потом на kvm, потому как полноценная виртуализация значительно удобнее контейнеров.

приколы с доступом из хоста к машинам по сети

Не понял, какие приколы? Ты не хочешь ходить в виртуалки по ssh? kvm из коробки умеет поднимать для каждого гостя vnc, проброшенный в tty виртуалки.

Или тебе нужно что-то типа vzctl enter <VID> ? Насколько я знаю, это умеют только контейнеры. Могу и ошибаться.

P.S. докер не нужен, так как геммороя больше, оверхед так же здоровый, глюки до сих пор не излечены. Для развёртывания окружения для посмотреть подходит, для нормальной постоянной работы с множеством гостей - нет, имхо.

VMWare ESXi, XenServer. Легче не бывает.

Если тебе именно виртуализация нужно, то ничего проще ты не найдёшь.

Хмм. У меня проекты - это кроме небольшого демона, так же пара скриптов в кроне. Т.е. хочется делать какую-нить эдакую «коробочку», чтобы поднимался и демон и крон и че угодно еще. Похоже что всякие докеры такое не тянут. Пожалуй попробую еще раз с kvm подружиться.

Не понял, какие приколы? Ты не хочешь ходить в виртуалки по ssh? kvm из коробки умеет поднимать для каждого гостя vnc, проброшенный в tty виртуалки.

Хочу из гостя иметь полноценный сетевой доступ к виртуалкам. Там с этим геморой

чтобы не тянуть kvm с его проблемами

какими проблемами?

Хочу из гостя иметь полноценный сетевой доступ к виртуалкам. Там с этим геморой

што, прости?

што, прости?

Это давно известный гемор kvm

https://www.furorteutonicus.eu/2013/08/04/enabling-host-guest-networking-with...

rkt

Хочу из гостя иметь полноценный сетевой доступ к виртуалкам. Там с этим геморой

Давай конкретику. Так как я лично вообще никакого гемора не встретил там за последние несколько лет использования.

Товарищ по ссылке делает что-то не совсем адекватное для поставленной задачи. Возможно, в 2013-ом году оно того стоило(в чём я сомневаюсь).

ты где это говно взял?

Давай конкретику. Так как я лично вообще никакого гемора не встретил там за последние несколько лет использования.

А что тут конкретнее? При дефолтной установке KVM нельзя обратиться из хоста к гостям по гостевым айпишникам. Только если городить всякие там mavtap'ы и прочую дичь. Возможно сейчас что-то уже поменялось, последний раз тыкал kvm с год назад. Тогда эта проблема была.

Каким местом докер даст тебе изоляцию, сравнимую с полноценной виртуалкой? Ещё и базу в него засовывать. Совсем уже поехали пионеры.

При дефолтной установке KVM нельзя обратиться из хоста к гостям по гостевым айпишникам. Только если городить всякие там mavtap'ы и прочую дичь. Возможно сейчас что-то уже поменялось, последний раз тыкал kvm с год назад. Тогда эта проблема была.

как твоя параллельная реальность называется? Мы в нашей реальности уже прилично так лет используем бриджи.

как твоя параллельная реальность называется? Мы в нашей реальности уже прилично так лет используем бриджи.

Ну щас посмотрим. Скоро доустанавливаю kvm и отпишусь что получилось

При дефолтной установке KVM нельзя обратиться из хоста к гостям по гостевым айпишникам. Только если городить всякие там mavtap'ы и прочую дичь.

Я первый раз про это слышу, хотя активно пользуюсь kvm'ом уже много лет.

А что не так у докера с изоялцией и базами? Или ретроград?

Похоже что всякие докеры такое не тянут.

Всё это легко реализуется на платформе докера.

Всё это легко реализуется на платформе докера.

А как? Вот у меня есть системд.сервис для запуска программы и есть скрипт который нужно по крону дергать.

как твоя параллельная реальность называется? Мы в нашей реальности уже прилично так лет используем бриджи.

да, сейчас работает без проблем, подтверждаю. А вот раньше такого небыло =)

да дичь какая-то

Все не так. Чрут - это не изоляция. Про базы иди рассказывай админам локалхоста. Можешь им ещё про шаред вольюмы рассказать и хранилище на нфс.

Что-то я не помню в 2013 такого...

Кручу гостей и за NAT и в бридже, никакой проблемы с доступом из хоста к гостям нет.

Ну если их можно разделить, то кладешь программу в один контейнер, крон в другой.
Если надо чтобы они в одном контейнере работали - ставишь в контейнер супервисорд и крон. В супервисорде запускаешь программу и крон, который запускает твой скрипт.

У меня есть базы в проде в докере, которые крутятся под нагрузкой (пол года точно). Проект большой, можно назвать модным словом «хайлоад» :)
Просто ты наслушался нытья всяких ниосяляторов, которые настроить ничего не могут и виноват у них докер во всем, а ты ведешься на это :)

virtual box ставь, он умеет использовать kvm.

да, сейчас работает без проблем, подтверждаю. А вот раньше такого небыло =)

Да, конечно, уже 10ый год пойдет, как kvm активно используют в продакшене несчетное количество контор, но видите ли у него был «всем известный гемор с сетью».

Не говоря уже о том, что до попадания трафика на виртуальный интерфейс, qemu-kvm вообще ни на что не влияет в работе сети, все зависит от настроек хоста и типа виртуального интерфейса.

с каким профилем нагрузки? IOPS, время отклика, пропускная способность? Мы в около года назад тестили постгрю, база примерно на 900 гигов - получилось плюс 0.7 - 1ms по времени отклика на oltp, и минус 500MB/s - 700MB/s на olap.

Докер ни в чём не виноват. Это просто набор костылей над chroot. Просто уже надоело каждый раз видеть гору хипстеров, набегающих в каждую тему про контейнерную изоляцию и/или виртуализацию со своим докером, который ни к первому, ни тем более ко второму не имеет ровным счётом никакого отношения.

Это просто набор костылей над chroot

Ну не над chroot, а над cgroups и namespaces, вернее над runc (по умолчанию), который над cgroups и namespaces.

не имеет ровным счётом никакого отношения.

А что тогда имеет отношение к «контейнерной изоляции»? Вполне себе менеджер по управлению возможностями ядра для изоляции процессов. Есть, конечно, много и других альтернатив, каждый выбирает, что больше подходит под ситуацию.

по IOPS сейчас точно не скажу, считали перед переездом, сейчас искать надо цифры, могу сказать, что оверхед был меньше 3-х процентов (базы под oltp). С olap тоже есть базы, так там на объемных запросах вообще разницы не заметили.
И да, многое зависит от того, как прокидываешь волюмы, речи о aufs либо overlay2 быть не может, потому что там с iops всё очень плохо до сих пор.

--mount type=bind 

Я всё равно не понимаю, на каком основании ты заявляешь, что докер к контейниризации не имеет никакого отношения?

Мне не надо ничего слушать, я как раз занимаюсь тем самым хайлоадом (300k rpm считается?). И именно из личного опыта я знаю, что докер годится только для локалхоста разработчика и для стейджингов. А прод-базу в нем будет крутить только суицидник.

Не, он ей является, только не до конца. Как минимум, до уровня хотя бы опенвз не хватает дисковых квот и лайв-миграции. Зато есть невменяемое квотирование цпу и памяти и пляски с инитом.

Потому что в FAQ по docker есть такой пункт:

«How do I run more than one process in a Docker container?»

Не спорю, докер использует механизмы lxc, но вся его идея и набор костылей для его работы завязаны на запуск одного процесса. Это легко делается в рамках chroot с bootstrap. cgroups и прочее прикручивается по желанию.

Нормальная же контейнеризация подразумевает, что на одном ядре ты просто и легко из коробки запускаешь бесконечное количество различных окружений с возможностью запуска внутри любого количества процессов даже не задумываясь об этом.

Докер изначально - это набор костылей для ленивых разрабов, которые не умеют следить за зависимостями в своих проектах. Человеческий контейнер - это недовиртуалка, использующая ядро хоста и изолированная от последнего.

Ну и плюс ко всему есть вопросы к настройкам лимитов, квот и взаимодействию с железом у докера. Ограничения по дискам, i/o и т.д.

Да, многое можно сделать и в докере, но зачем извращаться, когда можно использовать инструменты изначально предназначенные для этого.

Ну а когда адепты церкви докера лезут в темы про виртуализацию(как эта), просто появляются вопросы об их вменяемости.

Вы точно что-то делали не так.

Ну вот смотри, у меня rpm примерно в 2 раза выше, постгресы живут в докерах и всё работает. А у тебя трафа меньше, так и докеры не работают. Чувствуешь лажу?
Я тебе что сказать то хочу, если конкретно в твоих руках инструмент не работает, это не всегда говорит о том, что инструмент говно.

Тебя никто не заставляет держать в докере один процесс, просто это бест практикс (как по мне, очень полезное).
Можно собрать хоть целое окружение и докер будет прекрасно работать, так что ты не к тому цепляешься.

как вариант, попробуй hyper-v.
оказался настолько простой штукой

Нормальная же контейнеризация подразумевает, что на одном ядре ты просто и легко из коробки запускаешь бесконечное количество различных окружений с возможностью запуска внутри любого количества процессов даже не задумываясь об этом.

И что тебе мешает запустить в докере systemd, runit или даже примитивный sysvinit и наслаждаться там любым количеством процессов?

Ну а когда адепты церкви докера лезут в темы про виртуализацию(как эта), просто появляются вопросы об их вменяемости.

Когда человек начинает писать какую-то ерунду, даже не разобравшись в сути вопроса, появляются гораздо большие вопросы об его вменяемости.

Окей, покажи мне плз с одной из хостовых нод:

docker info
w

И еще я с огромным удовольствием выслушаю рассказ, как вы боретесь с багами наподобие этого

в нашем случае оверлей сразу отмели, использовали как раз mount

Хочется какого-то простого и «легкого» решения, чтобы не тянуть kvm с его проблемами и не поднимать virtualbox.

libvirt, не? Гипервайзор подключишь какой тебе больше нравится из поддерживаемых. Рулилку прикрутишь по вкусу